黑客大曝光:Web应用程序安全(原书第3版)
点击看大图基本信息
- 作者: (美)Joel Scambray Vincent Liu Caleb Sima [作译者介绍]
- 译者: 姚军
- 出版社:机械工业出版社
- ISBN:9787111356622
- 上架时间:2011-10-17
- 出版日期:2011 年10月
- 开本:16开
- 页码:319
- 版次:3-1
- 所属分类:
计算机 > 安全 > 网络安全/防火墙/黑客
内容简介回到顶部↑
书籍
计算机书籍
在网络技术和电子商务飞速发展的今天,web应用安全面临着前所未有的挑战。所有安全技术人员有必要掌握当今黑客们的武器和思维过程,保护web应用免遭恶意攻击。本书由美国公认的安全专家和精神领袖打造,对上一版做了完全的更新,覆盖新的网络渗透方法和对策,介绍如何增强验证和授权、弥补firefox和ie中的漏洞、加强对注入攻击的防御以及加固web 2.0安全,还介绍了如何将安全技术整合在web开发以及更广泛的企业信息系统中。
主要内容:
黑客足迹跟踪、扫描和剖析工具,包括shodan、maltego和owasp dirbuster
流行平台(如sun java system web server和oracle weblogic)上新的漏洞攻击
攻击者如何挫败常用的web验证技术
实际的会话攻击泄漏敏感数据的方法,以及加固应用的途径
当今黑客使用的最具毁灭性的方法,包括sql注入、xss、xsrf、网络钓鱼和xml注入技术
寻找和修复asp.net、php和j2ee执行环境中的漏洞
安全部署xml、社交网络、云计算和web2.0服务
防御ria、ajax、ugc和基于浏览器的客户端漏洞利用
实现可伸缩的威胁建模、代码评审、应用扫描、模糊测试和安全测试规程
计算机书籍
在网络技术和电子商务飞速发展的今天,web应用安全面临着前所未有的挑战。所有安全技术人员有必要掌握当今黑客们的武器和思维过程,保护web应用免遭恶意攻击。本书由美国公认的安全专家和精神领袖打造,对上一版做了完全的更新,覆盖新的网络渗透方法和对策,介绍如何增强验证和授权、弥补firefox和ie中的漏洞、加强对注入攻击的防御以及加固web 2.0安全,还介绍了如何将安全技术整合在web开发以及更广泛的企业信息系统中。
主要内容:
黑客足迹跟踪、扫描和剖析工具,包括shodan、maltego和owasp dirbuster
流行平台(如sun java system web server和oracle weblogic)上新的漏洞攻击
攻击者如何挫败常用的web验证技术
实际的会话攻击泄漏敏感数据的方法,以及加固应用的途径
当今黑客使用的最具毁灭性的方法,包括sql注入、xss、xsrf、网络钓鱼和xml注入技术
寻找和修复asp.net、php和j2ee执行环境中的漏洞
安全部署xml、社交网络、云计算和web2.0服务
防御ria、ajax、ugc和基于浏览器的客户端漏洞利用
实现可伸缩的威胁建模、代码评审、应用扫描、模糊测试和安全测试规程
作译者回到顶部↑
本书提供作译者介绍
Joel Scambray,CISSP、战略安全咨询服务供应商Consciere的共同创始人和CEO。他曾经在Microsoft、Foundstone、Ernst & Young以及其他机构从事互联网安全评估和防御将近15年之久,是国际知名的演说家和多本安全书籍的作者。
Vincent Liu,CISSP、Stach & Liu的任事股东。他曾经领导Honeywell国际公司全球安全单位的攻击与渗透及逆向工程团队,曾经是Ernst & Young高级安全中心的顾问和美国国家安全局的分析师,曾经在Black Hat、ToorCon和 Microsoft BlueHat等业界会议上发表演说。<.. << 查看详细
Vincent Liu,CISSP、Stach & Liu的任事股东。他曾经领导Honeywell国际公司全球安全单位的攻击与渗透及逆向工程团队,曾经是Ernst & Young高级安全中心的顾问和美国国家安全局的分析师,曾经在Black Hat、ToorCon和 Microsoft BlueHat等业界会议上发表演说。<.. << 查看详细
目录回到顶部↑
《黑客大曝光:web应用程序安全(原书第3版)》
对本书的赞誉
译者序
序言
前言
作者简介
致谢
第1章 web应用入侵基础1
1.1 什么是web应用入侵1
1.1.1 gui web入侵1
1.1.2 uri入侵2
1.1.3 方法、首部和主体3
1.1.4 资源4
1.1.5 验证、会话和授权5
1.1.6 web客户端与html5
1.1.7 其他协议6
1.2 为什么攻击web应用7
1.3 谁、何时、何处8
1.4 web应用是如何遭到攻击的9
1.4.1 web浏览器9
对本书的赞誉
译者序
序言
前言
作者简介
致谢
第1章 web应用入侵基础1
1.1 什么是web应用入侵1
1.1.1 gui web入侵1
1.1.2 uri入侵2
1.1.3 方法、首部和主体3
1.1.4 资源4
1.1.5 验证、会话和授权5
1.1.6 web客户端与html5
1.1.7 其他协议6
1.2 为什么攻击web应用7
1.3 谁、何时、何处8
1.4 web应用是如何遭到攻击的9
1.4.1 web浏览器9
译者序回到顶部↑
互联网确实是人类历史上伟大的发明之一,它彻底地改变了人们的生活,现在,可以毫不怀疑地说,人们日常生活的每个方面都已经和互联网息息相关。
那么,什么是互联网中最引人注目的部分呢?您一定能猜到,是各式各样的Web应用。Web应用可以说是IT界的骄傲,它们使现实世界中形形色色的业务都搬到了网络上,使人们可以足不出户地购物、娱乐、处理各种日常事务。在这一刻,IT人可以自豪地说:这么多年来,我们终于引领了业务,超越商业界创造了一种生产、销售、服务的新形式。
骄傲和危险总是相伴的,网络上巨大的商业机会也同样吸引着不法分子,既然可以在网络上从事各种商务活动,也就意味着,技术高超的黑客们不用荷枪实弹,就能洗劫一个商店,甚至偷走银行中的现金。使用电子商务的人不断激增,大部分人都不具备与黑客同样的技术背景,在与犯罪分子的斗争当中,人们已经落了下风。而搭建网上平台的企业,自然要承担起保护自身及客户财产和隐私安全的职责,企业的安全管理员们,肩上的责任也就更沉重了。
令人遗憾的是,近年来不断发展的平台技术,虽然在安全上有了巨大的进步,但是对于扩张如此迅速的Web应用所面对的越来越广泛的威胁仍然无能为力。网络架构本身的特点,决定了安全不再只是通过防火墙、防病毒软件和安全补丁就能完成的任务,而是涉及开发人员、安全管理人员以及整个企业的各个部门甚至网上所有客户的巨大项目,而黑客们所研究出来的各种攻击手段,则是五花八门,令人瞠目结舌。
和往常一样,《黑客大曝光》的作者们又一次走到了幕前,用他们在许多大型企业担当安全顾问的丰富经验,为我们呈现了安全工作中将要面对的各种威胁,丰富的实例解说、逼真的样板应用攻防,既让我们深深感受到黑客手段的可怕之处,又欣慰地看到,在开发和安全实施的很多时候,我们只要理解和运用书中所介绍的最佳实践,就能够很快地消除大部分的隐患,除了对各种威胁原理的详细解说之外,本书还为读者提供了一套十分好用的安全过程方法论,并且用实例讲解了如何将这些方法集成到Web应用产品生命期中,而这,正是安全工作者孜孜以求的。
这是我们第二次翻译《黑客大曝光》了,本书充实的内容使我们担心,因为自己的水平所限,不能百分之百地再现原作的精彩之处,我们为此倾注了很大心力,也真诚地向读者推荐这本书,希望它能成为你工作中的定海神针。
本书的翻译主要由姚军完成,徐锋、陈绍继、郑端、吴兰陟、施游、林起浪等人也为本书的翻译工作做出了贡献,在此也要感谢华章科技图书的编辑们对翻译工作提出的许多中肯意见,同时期待着广大读者朋友的批评指正。
那么,什么是互联网中最引人注目的部分呢?您一定能猜到,是各式各样的Web应用。Web应用可以说是IT界的骄傲,它们使现实世界中形形色色的业务都搬到了网络上,使人们可以足不出户地购物、娱乐、处理各种日常事务。在这一刻,IT人可以自豪地说:这么多年来,我们终于引领了业务,超越商业界创造了一种生产、销售、服务的新形式。
骄傲和危险总是相伴的,网络上巨大的商业机会也同样吸引着不法分子,既然可以在网络上从事各种商务活动,也就意味着,技术高超的黑客们不用荷枪实弹,就能洗劫一个商店,甚至偷走银行中的现金。使用电子商务的人不断激增,大部分人都不具备与黑客同样的技术背景,在与犯罪分子的斗争当中,人们已经落了下风。而搭建网上平台的企业,自然要承担起保护自身及客户财产和隐私安全的职责,企业的安全管理员们,肩上的责任也就更沉重了。
令人遗憾的是,近年来不断发展的平台技术,虽然在安全上有了巨大的进步,但是对于扩张如此迅速的Web应用所面对的越来越广泛的威胁仍然无能为力。网络架构本身的特点,决定了安全不再只是通过防火墙、防病毒软件和安全补丁就能完成的任务,而是涉及开发人员、安全管理人员以及整个企业的各个部门甚至网上所有客户的巨大项目,而黑客们所研究出来的各种攻击手段,则是五花八门,令人瞠目结舌。
和往常一样,《黑客大曝光》的作者们又一次走到了幕前,用他们在许多大型企业担当安全顾问的丰富经验,为我们呈现了安全工作中将要面对的各种威胁,丰富的实例解说、逼真的样板应用攻防,既让我们深深感受到黑客手段的可怕之处,又欣慰地看到,在开发和安全实施的很多时候,我们只要理解和运用书中所介绍的最佳实践,就能够很快地消除大部分的隐患,除了对各种威胁原理的详细解说之外,本书还为读者提供了一套十分好用的安全过程方法论,并且用实例讲解了如何将这些方法集成到Web应用产品生命期中,而这,正是安全工作者孜孜以求的。
这是我们第二次翻译《黑客大曝光》了,本书充实的内容使我们担心,因为自己的水平所限,不能百分之百地再现原作的精彩之处,我们为此倾注了很大心力,也真诚地向读者推荐这本书,希望它能成为你工作中的定海神针。
本书的翻译主要由姚军完成,徐锋、陈绍继、郑端、吴兰陟、施游、林起浪等人也为本书的翻译工作做出了贡献,在此也要感谢华章科技图书的编辑们对翻译工作提出的许多中肯意见,同时期待着广大读者朋友的批评指正。
前言回到顶部↑
早在1999年,本书第1版就向读者介绍了计算机网络和系统多么容易闯入。尽管今天还有许多人没有意识到这个事实,但是很多人正在开始理解防火墙、安全操作系统配置、软件供应商补丁维护和许多其他以前觉得很神秘的信息系统安全的基础知识。
遗憾的是,互联网所带来的快速发展已经把“球门柱”推向了前场。防火墙、操作系统安全性和最新的补丁都可能被简单的Web攻击所绕过。尽管那些要素仍然是所有安全架构中的关键部件,但是对于越来越频繁而且不断成熟的新一代攻击来说明显无能为力。
这不是我的一家之言。Gartner集团指出,75%的网络攻击都在Web应用级别,而在300个经过审核的网站中,97%的网站都容易受到攻击。2009年秋季的WhiteHat网站安全统计报告称,83%的网站至少有一个严重的漏洞,64%的网站目前至少有一个漏洞,而漏洞解决率仅为61%,余留了8902个未解决的问题(样本大小:1364个网站)。毁灭性攻击的新闻现在已经很常见:身份盗窃资源中心(Identity Theft Resource Center,ITRC)称,在2010年上半年,至少有301个安全性缺口导致了超过820万份身份记录曝光。估计因为安全性缺口所引起的敏感数字记录侵害总数还会再攀新高:Verizon Business 2010数据破坏调查报告中称,6年来,仅查看900余种缺口样本就有超过9亿条记录受到侵害。
我们不能停止互联网商务的脚步,关上大门。我们除了划定一条底线,并保卫信息空间中无数的组织和个人所划定的阵地之外,别无选择。对于已经组建了最基本的网站的人来说,这是一个令人畏惧的任务。面对现有协议如HTTP的安全局限性,以及技术挑战(包括XML Web服务、AJAX、RSS、移动应用以及用户生成内容等)不断加速的脚步,设计和实现一个安全的Web应用可能成为一个戈尔地雅斯难结。
面对Web应用安全挑战
本书为你展示如何使用书中提出的双管齐下的方法来应对这一挑战。
首先,我们把Web应用将要面对的最大威胁分类,并且非常详细地解释它们的工作原理。我们是如何知道这些最大的威胁的?因为我们受雇于世界上最大的公司,进入它们的Web应用,每天使用基于这些威胁的攻击来开展工作。我们几人做这项工作的时间加起来已经超过30年,我们研究最新出现的攻击,开发自己的工具和技术,并且将它们组合成为最有效方法,用于渗透现有的Web应用安全。
在你注意到我们展示的这些危险之后,我们告诉你如何避免所有这些攻击。在不理解本书中的信息的情况下开发Web应用,等同于开车时不系安全带,还开上光滑的路面,穿过大裂谷,没有刹车,并且把油门踩到最大。
本书的组织结构
本书由多个章节组成,每个章节描述攻击方法论的一个方面。这种结构组成了本书的主干,因为如果没有一种方法论,那么本书就仅仅是一堆没有上下文和意义的信息。以下是本书章节内容。
第1章Web应用入侵基础。这一章中,我们广泛地概述了Web应用入侵攻击和技术,同时展示了具体的实例。系上你的安全带,因为我们就要离开堪萨斯了。
第2章剖析。任何方法论的第一步往往是最重要的,剖析也不例外。该章讲解了作为攻击Web应用及其相关基础设施前奏的侦查过程。
第3章Web平台入侵。如果建立在充满安全漏洞的Web平台之上,那么没有一个应用能够安全,该章描述了大部分流行的Web平台包括IIS、Apache、 PHP和ASP.NET的攻击、检测躲避技术及其对策。
第4章攻击Web验证。该章介绍常见Web验证机制的攻击和对策,包括基于密码、多因素(例如CAPTCHA)以及Windows Live ID这样的在线验证服务。
第5章攻击Web授权。了解通过高级会话分析、劫持和完成(Fixation)技术。
第6章 输入注入攻击。从跨站脚本到SQL注入,大部分Web攻击的实质是意外的应用输入。在该章中,我们回顾经典的恶意输入类别,从超长输入(像缓冲区溢出)到规范化攻击(像臭名昭著的dot-dot-slash),并且揭示应该始终加以怀疑的元字符(包括角括号、引号、单引号、双破折号、百分号、星号、下划线、换行、&、管道符号和分号),从入门级到高级的SQL注入工具和技术,以及隐蔽编码技术和输入验证/输出编码对策。
第7章攻击XML Web服务。不要遗漏了SOAP,因为这一章将揭示如何通过包括WSDL暴露、输入注入、外部实体注入和XPath注入等技术发现和攻击Web服务漏洞。
第8章攻击Web应用管理。如果前门上锁,就试试后门!该章揭示了大部分针对远程服务器管理、Web内容管理/授权、管理员错误配置以及开发者造成错误的常见Web应用管理攻击。
遗憾的是,互联网所带来的快速发展已经把“球门柱”推向了前场。防火墙、操作系统安全性和最新的补丁都可能被简单的Web攻击所绕过。尽管那些要素仍然是所有安全架构中的关键部件,但是对于越来越频繁而且不断成熟的新一代攻击来说明显无能为力。
这不是我的一家之言。Gartner集团指出,75%的网络攻击都在Web应用级别,而在300个经过审核的网站中,97%的网站都容易受到攻击。2009年秋季的WhiteHat网站安全统计报告称,83%的网站至少有一个严重的漏洞,64%的网站目前至少有一个漏洞,而漏洞解决率仅为61%,余留了8902个未解决的问题(样本大小:1364个网站)。毁灭性攻击的新闻现在已经很常见:身份盗窃资源中心(Identity Theft Resource Center,ITRC)称,在2010年上半年,至少有301个安全性缺口导致了超过820万份身份记录曝光。估计因为安全性缺口所引起的敏感数字记录侵害总数还会再攀新高:Verizon Business 2010数据破坏调查报告中称,6年来,仅查看900余种缺口样本就有超过9亿条记录受到侵害。
我们不能停止互联网商务的脚步,关上大门。我们除了划定一条底线,并保卫信息空间中无数的组织和个人所划定的阵地之外,别无选择。对于已经组建了最基本的网站的人来说,这是一个令人畏惧的任务。面对现有协议如HTTP的安全局限性,以及技术挑战(包括XML Web服务、AJAX、RSS、移动应用以及用户生成内容等)不断加速的脚步,设计和实现一个安全的Web应用可能成为一个戈尔地雅斯难结。
面对Web应用安全挑战
本书为你展示如何使用书中提出的双管齐下的方法来应对这一挑战。
首先,我们把Web应用将要面对的最大威胁分类,并且非常详细地解释它们的工作原理。我们是如何知道这些最大的威胁的?因为我们受雇于世界上最大的公司,进入它们的Web应用,每天使用基于这些威胁的攻击来开展工作。我们几人做这项工作的时间加起来已经超过30年,我们研究最新出现的攻击,开发自己的工具和技术,并且将它们组合成为最有效方法,用于渗透现有的Web应用安全。
在你注意到我们展示的这些危险之后,我们告诉你如何避免所有这些攻击。在不理解本书中的信息的情况下开发Web应用,等同于开车时不系安全带,还开上光滑的路面,穿过大裂谷,没有刹车,并且把油门踩到最大。
本书的组织结构
本书由多个章节组成,每个章节描述攻击方法论的一个方面。这种结构组成了本书的主干,因为如果没有一种方法论,那么本书就仅仅是一堆没有上下文和意义的信息。以下是本书章节内容。
第1章Web应用入侵基础。这一章中,我们广泛地概述了Web应用入侵攻击和技术,同时展示了具体的实例。系上你的安全带,因为我们就要离开堪萨斯了。
第2章剖析。任何方法论的第一步往往是最重要的,剖析也不例外。该章讲解了作为攻击Web应用及其相关基础设施前奏的侦查过程。
第3章Web平台入侵。如果建立在充满安全漏洞的Web平台之上,那么没有一个应用能够安全,该章描述了大部分流行的Web平台包括IIS、Apache、 PHP和ASP.NET的攻击、检测躲避技术及其对策。
第4章攻击Web验证。该章介绍常见Web验证机制的攻击和对策,包括基于密码、多因素(例如CAPTCHA)以及Windows Live ID这样的在线验证服务。
第5章攻击Web授权。了解通过高级会话分析、劫持和完成(Fixation)技术。
第6章 输入注入攻击。从跨站脚本到SQL注入,大部分Web攻击的实质是意外的应用输入。在该章中,我们回顾经典的恶意输入类别,从超长输入(像缓冲区溢出)到规范化攻击(像臭名昭著的dot-dot-slash),并且揭示应该始终加以怀疑的元字符(包括角括号、引号、单引号、双破折号、百分号、星号、下划线、换行、&、管道符号和分号),从入门级到高级的SQL注入工具和技术,以及隐蔽编码技术和输入验证/输出编码对策。
第7章攻击XML Web服务。不要遗漏了SOAP,因为这一章将揭示如何通过包括WSDL暴露、输入注入、外部实体注入和XPath注入等技术发现和攻击Web服务漏洞。
第8章攻击Web应用管理。如果前门上锁,就试试后门!该章揭示了大部分针对远程服务器管理、Web内容管理/授权、管理员错误配置以及开发者造成错误的常见Web应用管理攻击。
序言回到顶部↑
不知彼不知己,每战必败。
—孙武《孙子兵法》
今天的商业活动依靠Web生存是无法回避的事实。从银行到书店,从拍卖到游戏,大部分公司都在Web上进行交易。例如,美国接近50%的音乐零售业务发生在网上,2010年网络游戏中的虚拟交易市场将超过15亿美元。有人估计,美国成年人中超过45%的人专门使用互联网进行自己的银行业务。随着Web的智能手机的流行,现在大部分的网络商务活动对消费者来说在任何时间、任何地点都可以进行。不管如何估算,Web上的业务都是经济的重要组成部分,并且正在快速发展。但是这种增长也带来了令人不快的现实——这部分商务活动的安全并没有齐头并进。
在现实世界里,企业所有者数十年来都在面对和学习缓解威胁,他们必须应付强行闯入、盗窃、持械抢劫、伪钞、支票诈骗以及各种骗局。但是现实世界里,企业的业务边界是有限而容易定义的。在大部分情况下,威胁的种类也在合理的限度内。随着时间的推移,他们已经学会应用越来越成熟的方法、工具和保安措施来对付这些威胁。而在Web上,情况就大不相同了。
Web上的商务活动出现不足20年,在现实世界中积累的许多经验教训,在Web商务活动中才刚刚露出苗头。和现实世界中一样,只要有钱或者有价值的资产,总是会发现一些人为非作歹,企图利用这些资产。但是,电子商务和现实世界不同,企业面对令人眼花缭乱的技术和概念,大部分领导者都感觉这些技术和概念难以(甚至不可能)理解。除此之外,资产的边界常常没有得到很好的理解,潜在威胁可能横跨全球。虽然所有银行的高级主管对现实世界的安防都很在行,提高物理资产的访问管理,精细设计银行金库的安全性,钱柜里有染色包,大堂中加武装保安等,但是这些主管们常常困惑于跨站脚本、SQL注入等技术对企业的影响。在许多情况下,即使这些公司雇用的建站“专家”、开发人员几乎也不知道这些威胁对网站的危害程度、他们所编写代码的脆弱性,或者那些打算获得系统访问权的攻击者的距离。
在电子商务和网络犯罪不对等的战场上,一些专家全心全意地将有关安全威胁的知识传授给企业,加强开发人员建立抗攻击代码的意识,并且不断地研究攻击者所采用的频繁变化的策略和工具。本书的作者代表着这个群体中最有经验和知识的专家,这本书是他们分享知识和经验的最新努力。
不管你是期望理解企业威胁的公司领导,还是为网站编写代码的工程师,或是期望识别和缓解对应用造成威胁的安全工程师,本书都是你的武器库中有价值的武器。正如孙子告诉我们的,这本书能让你更清楚地认识自己和你的敌人,最后你将有能力减少企业的风险。
——Chris Peterson,2010年8月
Zynga Game Network应用安全高级主管,前Microsoft安全保障主管
—孙武《孙子兵法》
今天的商业活动依靠Web生存是无法回避的事实。从银行到书店,从拍卖到游戏,大部分公司都在Web上进行交易。例如,美国接近50%的音乐零售业务发生在网上,2010年网络游戏中的虚拟交易市场将超过15亿美元。有人估计,美国成年人中超过45%的人专门使用互联网进行自己的银行业务。随着Web的智能手机的流行,现在大部分的网络商务活动对消费者来说在任何时间、任何地点都可以进行。不管如何估算,Web上的业务都是经济的重要组成部分,并且正在快速发展。但是这种增长也带来了令人不快的现实——这部分商务活动的安全并没有齐头并进。
在现实世界里,企业所有者数十年来都在面对和学习缓解威胁,他们必须应付强行闯入、盗窃、持械抢劫、伪钞、支票诈骗以及各种骗局。但是现实世界里,企业的业务边界是有限而容易定义的。在大部分情况下,威胁的种类也在合理的限度内。随着时间的推移,他们已经学会应用越来越成熟的方法、工具和保安措施来对付这些威胁。而在Web上,情况就大不相同了。
Web上的商务活动出现不足20年,在现实世界中积累的许多经验教训,在Web商务活动中才刚刚露出苗头。和现实世界中一样,只要有钱或者有价值的资产,总是会发现一些人为非作歹,企图利用这些资产。但是,电子商务和现实世界不同,企业面对令人眼花缭乱的技术和概念,大部分领导者都感觉这些技术和概念难以(甚至不可能)理解。除此之外,资产的边界常常没有得到很好的理解,潜在威胁可能横跨全球。虽然所有银行的高级主管对现实世界的安防都很在行,提高物理资产的访问管理,精细设计银行金库的安全性,钱柜里有染色包,大堂中加武装保安等,但是这些主管们常常困惑于跨站脚本、SQL注入等技术对企业的影响。在许多情况下,即使这些公司雇用的建站“专家”、开发人员几乎也不知道这些威胁对网站的危害程度、他们所编写代码的脆弱性,或者那些打算获得系统访问权的攻击者的距离。
在电子商务和网络犯罪不对等的战场上,一些专家全心全意地将有关安全威胁的知识传授给企业,加强开发人员建立抗攻击代码的意识,并且不断地研究攻击者所采用的频繁变化的策略和工具。本书的作者代表着这个群体中最有经验和知识的专家,这本书是他们分享知识和经验的最新努力。
不管你是期望理解企业威胁的公司领导,还是为网站编写代码的工程师,或是期望识别和缓解对应用造成威胁的安全工程师,本书都是你的武器库中有价值的武器。正如孙子告诉我们的,这本书能让你更清楚地认识自己和你的敌人,最后你将有能力减少企业的风险。
——Chris Peterson,2010年8月
Zynga Game Network应用安全高级主管,前Microsoft安全保障主管
媒体评论回到顶部↑
“不管你是期望理解企业威胁的公司领导,还是为网站编写代码的工程师,或是识别和缓解对应用造成威胁的安全工程师,本书都是你的武器库中有价值的武器。”—摘自Chris Peterson的序言,Zynga Game Network应用安全高级主管,前Microsoft安全保障主管
“我认真品读了Joel的作品,这本书没有让我失望。人们常问,到哪里能找到在这个令人畏缩的行业里获得立足之地的高质量内容。这本书就是每个应用安全从业者所需要的案头参考。它将是我的珍藏书籍之一。”—Robert “RSnake” Hansen,SecTheory CEO及ha.ckers.org创始人
“作为了解当今Web应用安全形势的一个具有启发性的资源,本书研究了最新的漏洞以及攻击技术,以及用于对抗这些漏洞的手法。本书对于寻求进入Web应用安全世界、有抱负的工程师,以及紧跟最新技术发展、成熟的应用安全和渗透测试专家来说,都是值得一读的。”—Chad GreeneeBay全球信息安全主管
“由于我们的业务将更多的信息和商务通过Web应用推送给客户,这些业务的机密性和完整性是我们立足的根本,即使不是义务,也是责任。本书为担负这一责任的应用开发人员和安全人员提供了全面的信息。作者的研究、洞察力,以及30年以上信息安全专家的经历,都令本书成为应用和信息保护工具箱中宝贵的资源。这是本好书!”—Ken Swanson,P&C保险公司区域IS业务解决方案经理
“本书不仅是关于Web应用安全的权威入门书籍;它还是师从最著名的行业专家的一次机会,即使熟练的专业人员也应珍惜这一机会。”—Andrew Stravitz, CISSPBarnes & Noble.com信息安全主管
“非常及时的参考书,随着云计算不断扩展到企业中,Web安全成为了攻击者和防御者的新战场。这本全面的书籍是理解当代Web应用形势及对策的权威入门读物。特别值得一提的是书中对身份管理的详细论述,这本书第一次深入地审视并以如此容易理解的方式介绍了围绕身份验证的各种挑战。”—Cem Paya,Google安全团队
“我认真品读了Joel的作品,这本书没有让我失望。人们常问,到哪里能找到在这个令人畏缩的行业里获得立足之地的高质量内容。这本书就是每个应用安全从业者所需要的案头参考。它将是我的珍藏书籍之一。”—Robert “RSnake” Hansen,SecTheory CEO及ha.ckers.org创始人
“作为了解当今Web应用安全形势的一个具有启发性的资源,本书研究了最新的漏洞以及攻击技术,以及用于对抗这些漏洞的手法。本书对于寻求进入Web应用安全世界、有抱负的工程师,以及紧跟最新技术发展、成熟的应用安全和渗透测试专家来说,都是值得一读的。”—Chad GreeneeBay全球信息安全主管
“由于我们的业务将更多的信息和商务通过Web应用推送给客户,这些业务的机密性和完整性是我们立足的根本,即使不是义务,也是责任。本书为担负这一责任的应用开发人员和安全人员提供了全面的信息。作者的研究、洞察力,以及30年以上信息安全专家的经历,都令本书成为应用和信息保护工具箱中宝贵的资源。这是本好书!”—Ken Swanson,P&C保险公司区域IS业务解决方案经理
“本书不仅是关于Web应用安全的权威入门书籍;它还是师从最著名的行业专家的一次机会,即使熟练的专业人员也应珍惜这一机会。”—Andrew Stravitz, CISSPBarnes & Noble.com信息安全主管
“非常及时的参考书,随着云计算不断扩展到企业中,Web安全成为了攻击者和防御者的新战场。这本全面的书籍是理解当代Web应用形势及对策的权威入门读物。特别值得一提的是书中对身份管理的详细论述,这本书第一次深入地审视并以如此容易理解的方式介绍了围绕身份验证的各种挑战。”—Cem Paya,Google安全团队
加载中...
